El uso de DES-CBC3 para TLS

Navega tus respuestas
3

Al investigar algún software compatible con TLS, encontré algunas menciones de DES-CBC3. Investigaciones adicionales muestran que es probablemente simplemente un nombre de OpenSSL para 3DES-EDE-CBC (en la sección "CIPHER SUITE NAMES", a la que no puedo enlazar directamente).

Me parece que ejecutar 3DES-EDE en modo CBC es significativamente diferente de realizar DES-CBC tres veces, por lo que el nombre no tiene ningún sentido.

Tengo las siguientes preguntas relacionadas:

  1. ¿Es la cadena DES-CBC3 solo específica para (software usando) OpenSSL?
  2. ¿Está vinculado de alguna manera a una versión específica de SSL / TLS?
  3. (Opcionalmente) ¿Alguien sabe por qué se llama DES-CBC3?
pregunta Maarten Bodewes 13.06.2016 - 11:49
fuente

1 respuesta

5

DES-CBC3, es una abreviatura de algunas suites en OpenSSL (que no siempre tiene una asignación uno a uno exacta entre el nombre utilizado y la suite utilizada, la construye a partir del nombre y el tipo de clave utilizada para la autentificación). Hoy en día, este nombre casi siempre significa una suite documentada en RFC 6101 donde se llama, un nombre ligeramente mejor: SSL_RSA_WITH_3DES_EDE_CBC_SHA. No tengo idea de cómo OpenSSL vino con su taquigrafía (y sospecho que data de antes de que OpenSSL fuera OpenSSL), pero es bastante malo.

El nombre del RFC te da la pista de que está utilizando 3DES ( Triple-DES ) en el modo EDE.

3DES-EDE está utilizando 3 claves de 56 bits, la primera utilizada en Cifrado, la segunda en Descifrado y la tercera en Cifrado. Esta construcción tiene la ventaja de que si las tres claves son idénticas, tiene DES, lo cual es bueno ya que permite reutilizar el mismo hardware para hacer DES y 3DES.

Para responder a cada punto

  1. Solo OpenSSL lo llama así, no el nombre utilizado en el estándar actual
  2. Válido desde SSLv3 y superior
  3. Necesitarías leer el historial de OpenSSL cuando estaba publicado, este es un código extremadamente antiguo, probablemente fue un error pero se atascó.
respondido por el Bruno Rohée 13.06.2016 - 13:10
fuente

Lea otras preguntas en las etiquetas

¿Por qué varias recompensas de errores ignoran la enumeración de usuarios? ¿El servidor proxy puede acceder a mis cookies y usarlas?